Shiro安全框架入门
一、Shiro的介绍
Apache Shiro是Java的一个安全框架,旨在简化身份验证和授权。Shiro在JavaSE和JavaEE项目中都可以使用。它主要用来处理身份认证,授权,企业会话管理和加密等。Shiro的具体功能点如下:
(1)身份认证/登录,验证用户是不是拥有相应的身份;
(2)授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
(3)会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通JavaSE环境的,也可以是如Web环境的;
(4)加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
(5)Web支持,可以非常容易的集成到Web环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色/权限不必每次去查,这样可以提高效率;
(6)shiro支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
(7)提供测试支持;
(8)允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
(9)记住我,这个是非常常见的功能,即一次登录后,下次再来的话不用登录了。
二、shiro认证、授权、自定义Realm
1、shiro认证
下面通过代码测试
在pom.xml中加入依赖
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.12</version>
</dependency>
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.3</version>
</dependency>
按照上图的认证过程,我们可以编写出一个测试类
public class ShiroTest {
// 创建realm
SimpleAccountRealm simpleAccountRealm = new SimpleAccountRealm();
/**
* 添加一个账户
*/
@Before
public void addUser() {
simpleAccountRealm.addAccount("CodeTiger", "6666", "admin");
}
@Test
/**
* 测试shiro认证过程
*/
public void testAuthentication() {
// 创建SecurityManager认证
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
defaultSecurityManager.setRealm(simpleAccountRealm);
// 主体提交认证请求
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("CodeTiger", "6666");
subject.login(token);
System.out.println("是否通过认证:" + subject.isAuthenticated());
subject.logout();
System.out.println("是否通过认证:" + subject.isAuthenticated());
}
}
运行测试方法,输出
true
false
2、shiro授权
在上面的类中添加一个方法进行测试
@Test
/**
* 测试shiro的授权过程
*/
public void testAuthorizer() {
// 创建securityManager
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
defaultSecurityManager.setRealm(simpleAccountRealm);
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("CodeTiger", "6666");
subject.login(token);
subject.checkRole("admin");
subject.checkRoles("admin","user");
}
3、Realm
Shiro有许多内置的Realm,我们就讲讲IniRealm和JdbcRealm。
(1)、IniRealm
IniRealm主要是通过在文件中配置角色信息进行认证和授权的。
新建一个测试类
/**
* 测试内置的IniRealm
* @author liu
*/
public class IniRealmTest {
// 指定文件的路径,文件中定义角色信息
IniRealm iniRealm = new IniRealm("classpath:user.ini");
@Test
public void testIniRealm() {
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
defaultSecurityManager.setRealm(iniRealm);
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("CodeTiger", "6666");
subject.login(token);
System.out.println(subject.isAuthenticated());
// 检查是否是管理员
subject.checkRole("admin");
// 检查是否有删除用户的权限
subject.checkPermission("user:delete");
}
}
可以看到是通过读取文件的形式创建了IniRealm实例,接着我们去类路径下创建user.ini
[users]
CodeTiger=6666,admin
[roles]
admin=user:delete,user:update
运行测试用例即可通过。
(2)、JdbcRealm
使用JdbcRealm要访问数据库,所以首先要加入mysql的依赖
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.41</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.1.6</version>
</dependency>
之后编写测试类JdbcRealmTest
/**
* 测试内置的JdbcRealm
* @author liu
*/
public class JdbcRealmTest {
DruidDataSource dataSource = new DruidDataSource();
// 设置数据库连接
{
dataSource.setUrl("jdbc:mysql://127.0.0.1:3306/shiro");
dataSource.setUsername("root");
dataSource.setPassword("1311664842");
}
/**
* 测试JdbcRealm
*/
@Test
public void testJdbcRealm() {
JdbcRealm jdbcRealm = new JdbcRealm();
// 设置数据源
jdbcRealm.setDataSource(dataSource);
// 打开权限检查
jdbcRealm.setPermissionsLookupEnabled(true);
// 使用自定义的授权查询语句
// String sql1 = "select password from test_user where username = ?";
// jdbcRealm.setAuthenticationQuery(sql1);
// 使用自定义的角色查询语句
// String sql2 = "select role_name from test_user_roles where username = ?";
// jdbcRealm.setUserRolesQuery(sql2);
// 使用自定义的权限查询语句
// String sql3 = "select permission from test_roles_permissions where role_name = ?";
// jdbcRealm.setPermissionsQuery(sql3);
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
defaultSecurityManager.setRealm(jdbcRealm);
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("CodeTiger", "123456");
subject.login(token);
// 检查是否授权
System.out.println(subject.isAuthenticated());
// 检查角色
subject.checkRole("admin");
// 检查权限
subject.checkPermission("user:delete");
}
}
这里可能不禁要问,我们数据库都没表啊,怎么进行验证呢,没事,先看看JdbcRealm的源码。开头有这么四个常量
/**
* The default query used to retrieve account data for the user.
*/
protected static final String DEFAULT_AUTHENTICATION_QUERY = "select password from users where username = ?";
/**
* The default query used to retrieve account data for the user when {@link #saltStyle} is COLUMN.
*/
protected static final String DEFAULT_SALTED_AUTHENTICATION_QUERY = "select password, password_salt from users where username = ?";
/**
* The default query used to retrieve the roles that apply to a user.
*/
protected static final String DEFAULT_USER_ROLES_QUERY = "select role_name from user_roles where username = ?";
/**
* The default query used to retrieve permissions that apply to a particular role.
*/
protected static final String DEFAULT_PERMISSIONS_QUERY = "select permission from roles_permissions where role_name = ?";
所以我们只要在数据库中创建好相应的表和字段,命名一致就行了。
当然也可以使用自定义的查询语句,就像上面注释了的一样。
(3)、自定义Realm
自定义Realm需要继承AuthorizingRealm类,并实现授权和认证的方法
/**
* 自定义Realm,继承自AuthorizingRealm
* @author liu
*/
public class CustomerRealm extends AuthorizingRealm {
Map<String, String> map = new HashMap<>();
{
map.put("CodeTiger", "123456");
// 设置Realm的名称
super.setName("customerRealm");
}
/**
* 授权方法
*/
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
// 从主体传过来的授权信息中获取用户名
String username = (String)principals.getPrimaryPrincipal();
// 从数据库或缓存中获取角色信息
Set<String> roles = getRolesByUsername(username);
// 从数据库或缓存中获取权限信息
Set<String> permissions = getPermissionsByUsername(username);
SimpleAuthorizationInfo simpleAuthorizationInfo = new SimpleAuthorizationInfo();
simpleAuthorizationInfo.setRoles(roles);
simpleAuthorizationInfo.setStringPermissions(permissions);
return simpleAuthorizationInfo;
}
/**
* 模拟从数据库通过用户名查询角色
* @param username
* @return
*/
public Set<String> getRolesByUsername(String username) {
Set<String> set = new HashSet<>();
set.add("admin");
set.add("user");
return set;
}
/**
* 模拟从数据库通过用户名查询权限
* @param username
* @return
*/
public Set<String> getPermissionsByUsername(String username) {
Set<String> set = new HashSet<>();
set.add("user:delete");
set.add("user:update");
return set;
}
/**
* 认证方法
*/
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
// 从主体传过来的认证信息中获取用户名
String username = (String)token.getPrincipal();
// 2.通过用户名从数据库或缓存中查询密码
String password = getPasswordByUsername(username);
if(password == null) {
return null;
}
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo("CodeTiger", password, "customerRealm");
return authenticationInfo;
}
/**
* 模拟从数据库中通过用户名查询密码
* @param username
* @return
*/
public String getPasswordByUsername(String username) {
return map.get(username);
}
}
为了简便,就没有从数据库或缓存中读取数据了。
接着写一个测试类进行测试
public class CustomerRealmTest {
@Test
public void testCustomerRealm() {
DefaultSecurityManager defaultSecurityManager = new DefaultSecurityManager();
CustomerRealm customerRealm = new CustomerRealm();
defaultSecurityManager.setRealm(customerRealm);
SecurityUtils.setSecurityManager(defaultSecurityManager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("CodeTiger", "123456");
subject.login(token);
System.out.println(subject.isAuthenticated());
subject.checkRole("admin");
subject.checkRoles("admin","user");
subject.checkPermission("user:delete");
subject.checkPermissions("user:delete", "user:update");
}
}
